【情報I】個人情報保護法の共通テスト対策|実践的な問題解決で高得点を狙う
テックジム東京本校では、情報科目の受験対策指導もご用意しております。
目次
はじめに:情報Iにおける個人情報保護法の位置づけ
2025年度から始まった共通テスト「情報I」では、「情報社会の問題解決」の単元で個人情報保護法が出題されます。政治・経済での出題と異なり、情報技術と結びついた実践的な問題解決能力が問われるのが特徴です。
本記事では、情報I特有の視点から個人情報保護法の重要ポイントを解説し、共通テストで確実に得点するための対策を提示します。
情報Iで問われる個人情報保護法の特徴
政治・経済との違い
| 観点 | 政治・経済 | 情報I |
|---|---|---|
| 出題の視点 | 法制度・歴史・社会制度 | 情報技術・実践的な対応 |
| 問われる内容 | 法律の条文、制度の変遷 | 具体的なシステム設計、データ管理 |
| 事例 | 企業の法令遵守 | SNS、アプリ、Webサービスでの実装 |
| 求められる力 | 知識の正確な理解 | 技術的な問題解決能力 |
情報Iで重視される3つのポイント
- 技術との結びつき:Cookie、暗号化、アクセス制御など
- 実践的な判断:システム設計時の個人情報保護
- 情報倫理:個人情報保護の社会的意義
必ず押さえるべき基礎知識
1. 個人情報保護法の基本
個人情報の定義
生存する個人に関する情報であって、特定の個人を識別できるもの
具体例(情報I的な視点)
- ユーザーID + 氏名
- メールアドレス(個人を特定できる場合)
- IPアドレス + タイムスタンプ(個人を特定できる場合)
- 位置情報 + 行動履歴
- 顔写真データ
- 音声データ(声紋から個人を特定できる場合)
非該当例
- 統計データ(個人を特定できないもの)
- 匿名加工情報(適切に加工されたもの)
- 死者の情報(ただし遺族の個人情報となる場合は保護対象)
重要な年号
- 2003年:個人情報保護法制定
- 2005年:全面施行
- 2015年:大規模改正(要配慮個人情報、匿名加工情報の導入)
- 2020年:改正(個人関連情報の規制、漏洩報告義務化)
所管組織
個人情報保護委員会(2016年設置)
- 内閣府の外局
- 独立性の高い行政機関
- 監視・監督、ガイドライン策定、立入検査などの権限
2. 要配慮個人情報
差別や偏見につながる可能性のある個人情報で、特に慎重な取り扱いが必要です。
具体例
- 人種、信条、社会的身分
- 病歴、健康診断の結果、医療情報
- 犯罪の経歴、犯罪被害の事実
- 身体障害、知的障害、精神障害
情報Iでの応用
- 健康管理アプリでの医療データ
- アクセシビリティ設定における障害情報
- 採用システムでの不適切な情報収集の防止
取り扱いルール
- 原則として本人の明示的な同意なく取得・利用できない
- 第三者提供も原則禁止(本人同意が必要)
3. 個人関連情報(2020年改正で追加)
個人情報には該当しないが、個人に関連する情報
代表例:Cookie(クッキー)
- Webサイトが訪問者の情報を保存する仕組み
- 閲覧履歴、ショッピングカート情報、ログイン状態など
- 他の情報と組み合わせると個人を特定できる
情報Iでの出題ポイント
- Cookieの仕組みと利用目的
- プライバシー設定の重要性
- 第三者Cookieの問題点
- Cookie同意バナーの意味
4. 匿名加工情報
特定の個人を識別できないように加工した情報
加工方法の例
- 氏名、住所などの削除
- 年齢を年代に変換(25歳 → 20代)
- 地域を広域化(港区 → 東京都)
- IDの削除・置換
活用例
- ビッグデータ分析
- 統計調査
- マーケティングリサーチ
- 交通流動分析
ルール
- 適切に加工すれば、本人の同意なく第三者提供が可能
- 元の個人情報に復元することは禁止
- 加工方法を公表してはならない
情報Iならではの出題パターン
パターン1:システム設計・実装の適切性を問う
例題タイプ 「学校で生徒の健康管理アプリを開発する。以下の設計のうち、個人情報保護法の観点から適切なものはどれか」
対策ポイント
- アクセス制御:必要最小限の人だけがアクセスできるか
- 暗号化:通信・保存時にデータを暗号化しているか
- ログ管理:アクセス記録を保存しているか
- 利用目的の明示:何のために情報を収集するか明確か
- 同意取得:本人から適切に同意を得ているか
具体的なチェック項目
✓ パスワードはハッシュ化して保存
✓ 通信はHTTPS(SSL/TLS)で暗号化
✓ 健康情報は要配慮個人情報として扱う
✓ アクセスログを記録
✓ 保健室の先生と本人のみアクセス可能
✓ 利用目的を事前に説明し同意を得る
✗ 平文でパスワードを保存
✗ HTTPで通信
✗ すべての教員がアクセス可能
パターン2:Cookie・トラッキングに関する問題
例題タイプ 「WebサイトでCookieを使用する際の適切な対応はどれか」
重要知識
ファーストパーティCookie
- 訪問しているサイトが発行
- ログイン状態の維持、カート機能など
- 比較的プライバシーリスクが低い
サードパーティCookie
- 訪問しているサイト以外が発行
- 複数サイトをまたいだ追跡
- プライバシーリスクが高い
- 主要ブラウザで規制が進む
適切な対応
- Cookieポリシーの明示
- 同意取得(Cookie同意バナー)
- 拒否オプションの提供
- 利用目的の説明
パターン3:データの匿名化・仮名化の判断
例題タイプ 「以下のデータ加工のうち、匿名加工情報として適切なものはどれか」
よく出る加工パターンの判定
| 元データ | 加工後 | 判定 |
|---|---|---|
| 田中太郎、35歳、港区 | A001、35歳、東京都 | △(年齢が特定できる) |
| 田中太郎、35歳、港区 | A001、30代、東京都 | ○(適切に匿名化) |
| 田中太郎、35歳、港区 | A001、35歳、港区 | ✗(地域が狭すぎる) |
| メールアドレス | ハッシュ化 | △(レインボーテーブル攻撃の可能性) |
| 電話番号の下4桁 | 削除 | ○ |
k-匿名性の概念
- 同じ属性を持つ人がk人以上いる状態
- k=5なら、同じ属性の人が5人以上
- k値が大きいほど安全だが、データの有用性は低下
パターン4:個人情報漏洩時の対応
例題タイプ 「個人情報が漏洩した場合の適切な対応手順はどれか」
正しい対応手順
- 事実関係の調査:何が、いつ、どの範囲で漏洩したか
- 影響範囲の特定:何人分、どんな情報が漏洩したか
- 個人情報保護委員会への報告(2020年改正で義務化)
- 本人への通知
- 二次被害の防止措置:パスワード変更の促進など
- 再発防止策の実施
報告が必要なケース(2020年改正)
- 要配慮個人情報の漏洩
- 財産的被害が生じるおそれのある漏洩
- 不正アクセス等による漏洩
- 1,000人以上の漏洩
パターン5:プライバシー設定と利用者の権利
例題タイプ 「SNSサービスにおける個人情報保護の適切な設計はどれか」
利用者の権利
- 開示請求権:自分のデータを見せてもらう
- 訂正請求権:間違ったデータを直してもらう
- 利用停止請求権:データの利用をやめてもらう
- 削除請求権:データを削除してもらう(忘れられる権利)
適切な実装例
- プライバシー設定画面の提供
- データのダウンロード機能
- アカウント削除機能
- 第三者提供の同意・拒否設定
- プライバシーダッシュボード
情報技術と結びつけた理解
1. 暗号化技術と個人情報保護
個人情報の保護に使われる暗号化
通信の暗号化
- SSL/TLS:HTTPS通信で使用
- 盗聴・改ざんを防ぐ
- 公開鍵暗号方式を利用
保存データの暗号化
- データベースの暗号化
- ディスク全体の暗号化(BitLocker、FileVaultなど)
- パスワードのハッシュ化(SHA-256、bcryptなど)
試験で問われるポイント
- 暗号化の有無で安全性が変わる
- パスワードは平文で保存してはいけない
- 通信はHTTPSを使うべき
2. アクセス制御と認証
個人情報へのアクセス管理
認証(Authentication)
- 本人確認の仕組み
- パスワード認証、二段階認証、生体認証など
認可(Authorization)
- アクセス権限の管理
- 役割ベースのアクセス制御(RBAC)
- 必要最小限の原則(最小権限の原則)
実装例
医療情報システムの場合:
- 医師:すべての患者の診療情報にアクセス可
- 看護師:担当患者の基本情報にアクセス可
- 受付:予約情報のみアクセス可
- 患者本人:自分の情報のみアクセス可
3. ログ管理と監査
アクセスログの重要性
- いつ、誰が、どの情報にアクセスしたか記録
- 不正アクセスの検知
- 漏洩時の原因究明
- 本人からの開示請求への対応
記録すべき情報
- 日時
- アクセスした人(ユーザーID)
- アクセスした情報
- 操作内容(閲覧、編集、削除など)
- アクセス元(IPアドレスなど)
4. データの最小化とプライバシーバイデザイン
データ最小化の原則
- 必要な情報だけを収集する
- 不要になったら削除する
- 目的外の利用をしない
プライバシーバイデザイン システム設計の段階からプライバシー保護を組み込む考え方
7つの原則
- 事前的であって事後的でない(予防的)
- デフォルトでプライバシー保護
- デザインに組み込まれる
- すべての機能を実現(ゼロサムでない)
- エンド・ツー・エンドでの保護
- 可視性と透明性
- ユーザー中心
実践的な演習問題
問題1:システム設計の適切性
問題 学校で図書館の貸出管理システムを作成する。以下の設計のうち、個人情報保護の観点から最も不適切なものはどれか。
a) 生徒のパスワードをハッシュ化して保存する b) 貸出履歴は卒業後も永久に保存する c) アクセスログを記録し、定期的に確認する d) 通信はHTTPSで暗号化する
解答・解説 正解:b
- a) 適切。パスワードは必ずハッシュ化して保存すべき
- b) 不適切。個人情報は利用目的が達成されたら削除すべき。卒業後も永久保存は過剰
- c) 適切。不正アクセスの検知のためログ管理は重要
- d) 適切。通信の暗号化は基本的なセキュリティ対策
ポイント:データの最小化原則。必要な期間だけ保存し、不要になったら削除する。
問題2:Cookie使用の適切性
問題 ECサイトでCookieを使用する。個人情報保護法の観点から適切な対応はどれか。
a) Cookieを使用していることを明示せず、デフォルトで有効にする b) Cookie使用の同意を得ずに、サードパーティCookieで行動追跡する c) Cookieポリシーを明示し、ユーザーが拒否できる選択肢を提供する d) Cookieで収集した情報を、本人に通知せず第三者に提供する
解答・解説 正解:c
- a) 不適切。Cookie使用は明示すべき
- b) 不適切。サードパーティCookieによる追跡には同意が必要
- c) 適切。透明性の確保と選択肢の提供が重要
- d) 不適切。個人関連情報であっても、不適切な第三者提供は問題
ポイント:Cookie(個人関連情報)も適切な扱いが必要。透明性と利用者の選択権が重要。
問題3:匿名加工情報の判定
問題 次のデータ加工のうち、匿名加工情報として最も適切なものはどれか。
元データ:「山田花子、42歳、渋谷区、年収650万円」
a) 「山田、42歳、渋谷区、年収650万円」 b) 「ID001、42歳、東京都、年収600〜700万円」 c) 「ID001、40代、東京都、年収600〜700万円」 d) 「山田花子、40代、関東地方、年収600〜700万円」
解答・解説 正解:c
- a) 不適切。苗字が残っており、地域が狭いため特定可能性が高い
- b) やや不適切。年齢が具体的すぎる(42歳+渋谷区→特定可能性あり)
- c) 適切。氏名削除、年齢は年代、地域は広域化、年収は範囲化で十分に匿名化
- d) 不適切。氏名が残っているため匿名加工情報ではない
ポイント:k-匿名性の確保。同じ属性の人が複数いる状態にする。
問題4:要配慮個人情報の取り扱い
問題 健康管理アプリを開発する。次のうち、個人情報保護法に違反するものはどれか。
a) 血圧データを収集する際、事前に利用目的を説明し、明示的な同意を得る b) 病歴情報は要配慮個人情報として、特に厳重に管理する c) ユーザーの同意なく、健康データを製薬会社に提供する d) 健康データへのアクセスは本人と医師のみに制限する
解答・解説 正解:c
- a) 適切。要配慮個人情報は明示的な同意が必要
- b) 適切。病歴は要配慮個人情報
- c) 違反。本人の同意なく第三者に提供することは原則禁止
- d) 適切。必要最小限の原則に基づくアクセス制御
ポイント:要配慮個人情報の第三者提供には本人の同意が必須。
問題5:個人情報漏洩時の対応
問題 Webサービスで1,500人分のメールアドレスとパスワードが漏洩した。最も適切な対応手順はどれか。
a) 漏洩の事実を隠蔽し、何も対応しない b) 本人に通知せず、個人情報保護委員会にも報告しない c) 影響範囲を調査し、個人情報保護委員会に報告後、本人に通知する d) 本人には通知するが、個人情報保護委員会には報告しない
解答・解説 正解:c
- a) 違反。隠蔽は最も不適切
- b) 違反。2020年改正で報告・通知義務化
- c) 適切。調査→委員会報告→本人通知→再発防止の順で対応
- d) 不適切。1,000人以上の漏洩は委員会への報告義務あり
ポイント:2020年改正で漏洩報告が義務化。適切な手順での対応が重要。
効果的な学習方法
1. 日常生活のサービスと結びつける
身近な例で理解を深める
- スマホアプリのプライバシー設定を確認
- WebサイトのCookie同意バナーを観察
- 会員登録時の利用規約を読む
- SNSのプライバシーポリシーをチェック
おすすめの実践
- Googleアカウントの「データとプライバシー」を見る
- Appleの「プライバシーラベル」を確認
- Cookieの削除・管理を試す
- 二段階認証を設定してみる
2. 事例研究
過去の個人情報漏洩事件を調べる
- 何が原因だったか
- どのような情報が漏洩したか
- 企業はどう対応したか
- 再発防止策は何か
有名な事例
- ベネッセの情報漏洩事件(2014年)
- LINEの個人情報問題(2021年)
- リクナビ問題(2019年)
3. 技術的な理解を深める
実際に試してみる
- 簡単なWebサイトを作ってHTTPSを設定
- パスワードのハッシュ化を実装
- Cookieの動作を確認
- アクセスログの記録を実装
おすすめツール
- Chrome開発者ツール(Cookieの確認)
- Python(簡単な暗号化の実装)
- SQLite(データベースの基本)
4. 図表でまとめる
視覚的に整理
- 個人情報の種類(一般/要配慮/個人関連)をベン図で
- データライフサイクル(収集→利用→保存→削除)をフローチャートで
- 暗号化技術を比較表で
試験直前チェックリスト
必須暗記事項
- □ 個人情報の定義(生存する個人)
- □ 制定年(2003年)、全面施行年(2005年)
- □ 改正年(2015年、2020年)
- □ 個人情報保護委員会(2016年設置)
- □ 要配慮個人情報の具体例
- □ 匿名加工情報の定義
理解すべき概念
- □ 個人情報取扱事業者の主な義務
- □ 本人の権利(開示・訂正・利用停止・削除)
- □ 第三者提供の原則と例外
- □ Cookie(個人関連情報)の扱い
- □ 2020年改正の漏洩報告義務
技術的な理解
- □ 暗号化(SSL/TLS、ハッシュ化)
- □ アクセス制御(認証・認可)
- □ ログ管理の重要性
- □ データ最小化の原則
- □ プライバシーバイデザイン
実践的な判断力
- □ システム設計の適切性判断
- □ Cookie使用の適切性判断
- □ 匿名加工の適切性判断
- □ 漏洩時の対応手順
- □ アクセス権限の設定
まとめ:情報Iで問われる個人情報保護法の本質
情報Iにおける個人情報保護法は、単なる法律知識の暗記ではなく、情報技術と法律を結びつけた実践的な問題解決能力が問われます。
合格のカギ
- 基本的な法律知識を正確に理解する
- 技術的な実装と結びつけて考える
- 具体的な事例で判断力を養う
- 日常のサービスで実感を持つ
これらを意識して学習すれば、個人情報保護法の分野で確実に得点できます。頑張ってください!
関連情報
- 個人情報保護委員会公式サイト
- 情報処理技術者試験(ITパスポート)
- IPAセキュリティ情報
■らくらくPython塾 – 読むだけでマスター
【現役エンジニア歓迎】プログラミング学習お悩み相談会
【情報I】受験対策・お悩み相談会(オンライン・無料)
【オンライン無料】ゼロから始めるPython爆速講座
■テックジム東京本校
格安のプログラミングスクールといえば「テックジム」。
講義動画なし、教科書なし。「進捗管理とコーチング」で効率学習。
対面型でより早くスキル獲得、月額2万円のプログラミングスクールです。
情報科目の受験対策指導もご用意しております。
